CVE-2026-3599

Name of the Vulnerable Software and Affected Versions Riaxe Product Customizer versões anteriores a 2.1.3

Description Existe um problema no plugin Riaxe Product Customizer para WordPress onde invasores não autenticados podem anexar consultas SQL adicionais a consultas existentes para extrair informações sensíveis do banco de dados. Isso ocorre devido à escape insuficiente de parâmetros fornecidos pelo usuário e à preparação inadequada da consulta SQL. A falha está localizada nas chaves do parâmetro 'options' dentro de product data do endpoint de API REST '/wp-json/InkXEProductDesignerLite/add-item-to-cart'.

Recommendations Atualize o plugin para uma versão posterior a 2.1.2. Como solução temporária, restrinja o acesso ao endpoint de API REST '/wp-json/InkXEProductDesignerLite/add-item-to-cart' ou evite usar o parâmetro product data até que uma correção seja aplicada.